Badan Keamanan Siber dan Keamanan Infrastruktur berupaya menyederhanakan masalah rumit keamanan perangkat lunak bagi para profesional akuisisi dan kontrak federal.
Dalam panduan baru yang dirilis hari ini, CISA merinci bagaimana lembaga dapat mengevaluasi keamanan perangkat lunak yang mereka beli dengan lebih baik. Dokumen tersebut, “Panduan Akuisisi Perangkat Lunak untuk Konsumen Perusahaan Pemerintah,” ditulis oleh Gugus Tugas Manajemen Risiko Rantai Pasokan Teknologi Informasi dan Komunikasi, yang dipimpin bersama oleh CISA dan perwakilan industri.
“Meskipun staf akuisisi memiliki pemahaman umum tentang persyaratan inti keamanan siber untuk akuisisi tertentu, mereka sering kali tidak memiliki kemampuan untuk menilai apakah pemasok tertentu memiliki praktik dan kebijakan yang lebih memenuhi harapan berkelanjutan dari pengguna perusahaan atas produk tersebut,” kata panduan tersebut.
Mona Harrington, asisten direktur Pusat Manajemen Risiko Nasional CISA, membantu memimpin gugus tugas sebagai wakil ketua. Ia mengatakan gugus tugas membuat panduan “bagi organisasi akuisisi dan pengadaan untuk memulai diskusi dengan staf keamanan siber dan pemilik risiko perusahaan, seperti kepala petugas informasi dan kepala petugas keamanan informasi, untuk memastikan keamanan akuisisi perangkat lunak mereka.”
“Dokumen ini menyediakan panduan federal yang penting, termasuk prinsip-prinsip 'Secure by Design' dari CISA, dan daftar pertanyaan yang harus dijawab untuk mengurangi risiko paparan dari perangkat lunak yang diperoleh dari pihak ketiga,” kata Harrington dalam sebuah pernyataan.
Panduan ini hadir saat lembaga-lembaga bergulat dengan persyaratan keamanan perangkat lunak yang baru dan terus berkembang. Awal tahun ini, CISA merampungkan formulir pengesahan perangkat lunak yang aman. Gedung Putih telah mengamanatkan agar lembaga-lembaga memastikan pemasok perangkat lunak mereka melengkapi formulir tersebut sebelum melanjutkan pembelian.
Dalam dokumen baru, gugus tugas CISA menulis bahwa “pertimbangan cermat telah dilakukan” untuk menyelaraskan panduan dengan upaya keamanan perangkat lunak yang ada, termasuk formulir pengesahan. Dokumen tersebut menjelaskan pertanyaan yang dapat membantu menginformasikan persyaratan, pendekatan kontrak dan akuisisi.
“Informasi dan wawasan yang dikumpulkan dari para pemasok membantu meningkatkan standar transparansi keamanan siber,” demikian pernyataan panduan tersebut.
Misalnya, panduan CISA menjelaskan bagaimana lembaga dapat meminta informasi dari vendor tentang kontrol keamanan rantai pasokan perangkat lunak tertentu.
“Perangkat lunak makin tersusun dari, atau bergantung pada, pustaka yang dibuat oleh tim pengembangan pihak ketiga,” demikian pernyataan panduan tersebut. “Pustaka-pustaka ini mungkin bersumber terbuka, komersial, atau dikontrak oleh pihak ketiga, dan masing-masing tim dapat membuat pustaka mereka sendiri menggunakan kombinasi pustaka sumber terbuka, komersial, atau yang dikontrak oleh pihak ketiga. Kurangnya visibilitas terhadap keputusan desain, pengembangan, dan implementasi yang dibuat oleh tim pihak ketiga menimbulkan risiko bagi semua perangkat lunak.”
Panduan ini juga mencakup deskripsi panjang lebar tentang kontrol pengembangan perangkat lunak, serta kontrol penyebaran perangkat lunak dan proses manajemen kerentanan.
Meningkatkan keamanan rantai pasokan perangkat lunak pemerintah merupakan komponen utama perintah eksekutif keamanan siber Presiden Joe Biden pada bulan Mei 2021. Biden mengeluarkan perintah eksekutif tersebut setelah peretas Rusia membobol jaringan beberapa lembaga federal melalui pemasok perangkat lunak perusahaan SolarWinds.
Dewan Regulasi Akuisisi Federal sedang menyusun aturan keamanan perangkat lunak yang sangat dinanti-nantikan. Setelah dirampungkan, aturan ini akan mewajibkan vendor perangkat lunak pemerintah untuk mematuhi persyaratan pengembangan perangkat lunak aman tertentu. memperbarui dari dewan FAR menunjukkan bahwa para pejabat saat ini sedang merevisi rancangan aturan tersebut.
CISA menunjuk kepala pejabat AI
CISA hari ini juga menunjuk Lisa Einstein untuk menjabat sebagai kepala pejabat kecerdasan buatan pertama di lembaga tersebut. Einstein telah memimpin upaya AI lembaga tersebut selama setahun terakhir sebagai penasihat senior. Ia juga menjabat sebagai direktur eksekutif Komite Penasihat Keamanan Siber CISA.
“Saya sangat peduli dengan misi CISA – jika kita berhasil, sistem penting yang diandalkan warga Amerika setiap hari akan menjadi lebih aman, lebih andal, dan lebih mampu,” kata Einstein dalam sebuah pernyataan. “Peralatan AI dapat mempercepat kemajuan kita. Namun, kita hanya akan menuai manfaatnya dan menghindari bahaya dari kesalahan penerapan atau penyalahgunaannya jika kita semua bekerja sama untuk memprioritaskan keselamatan, keamanan, dan kepercayaan dalam pengembangan dan penerapan peralatan AI.”
CISA memainkan peran penting dalam upaya pemerintahan Biden di bidang AI. Perintah eksekutif Biden tentang AI mengarahkan CISA untuk memimpin evaluasi risiko penggunaan AI di sektor infrastruktur penting.
Awal minggu ini, CISA juga dilaporkan berdasarkan hasil latihan yang dilakukannya yang melibatkan penggunaan AI untuk mendeteksi kerentanan. Badan tersebut mengatakan bahwa meskipun sistem AI saat ini dapat meningkatkan alat keamanan siber yang ada untuk mendeteksi bug dalam perangkat lunak, sistem tersebut tidak dapat sepenuhnya menggantikannya.
“Dalam beberapa kasus, jumlah waktu yang dibutuhkan analis untuk mempelajari cara menggunakan kemampuan baru sangat besar dan peningkatan tambahan yang diperoleh mungkin tidak berarti,” CISA menyatakan dalam temuannya. “Dalam beberapa kasus, perangkat AI tidak dapat diprediksi dengan cara yang sulit dipecahkan.”
Hak cipta © 2024 Federal News Network. Semua hak dilindungi undang-undang. Situs web ini tidak ditujukan untuk pengguna yang berlokasi di dalam Wilayah Ekonomi Eropa.